Escolar Documentos
Profissional Documentos
Cultura Documentos
Introducción a la ciberseguridad
Recursos
La norma
¿Por qué estamos aquí?
Fuente: https://www.fireeye.com/cyber-map/threat-map.html
¿Por qué estamos aquí?
Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/
Casos recientes
Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html
Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html
Casos actuales
Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html
Recursos
Herramientas gratuitas
Certificaciones
Sueldo medio en EEUU
Etc… Etc…
Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T
Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632
Complementos y alternativas a ISO 27001
Cloud Controls Matrix (CCM) : Cloud Security Alliance
“Code of good 1995 Adoptado por primera vez como British Standard (BS)
security practice
for information 1998 Se publican los requisitos para la certificación
security”
1999 Se edita la Segunda Edición donde se incluyen comercio
electrónico, los ordenadores portátiles y contratación con terceros.
DISC PD003
2000 Se aprueba la ISO 17799 Parte 1 en Agosto.
Beneficios de un SGSI.
•Conversaciones
•Web
•Personas
•En los sitios más insospechados…
¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante
distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable:
• Mediante la gestión y tratamiento de riesgos
• Formando a las personas
• Securizando procesos y tecnología
• Etc.
Seguridad de la información. Conceptos
Según la ISO, la seguridad se caracteriza como la preservación de la confidencialidad,
integridad y disponibilidad de la información; adicionalmente pueden tenerse en
consideración otras propiedades como autenticación, responsabilidad, no repudio y
fiabilidad
NECESIDADES
SEGURIDAD
OPERATIVAS
S
CONFIDENCIALIDAD AUTENTICACION
E
G NO REPUDIO
INTEGRIDAD U
R TRAZABILIDAD
DISPONIBILIDAD I
D RESPONSABILIDAD
A
GESTIÓN DE LA SEGURIDAD
D SEGURIDAD TOTAL
ISO 27001. Cambios notables
• Pone más peso en medir y evaluar (métricas e indicadores) el sistema de
gestión
• Desaparece la sección de enfoque a procesos dando más flexibilidad de elección
de metodologías de trabajo para análisis de riesgos y mejoras.
• No enfatiza tanto el ciclo de Demming como la ISO27001:2005
• Mejora la integración con ISO9000 e ISO20000. Cambia su estructura
conforme al anexo SL.
• Incorpora la externalización de servicios en el dominio “relaciones con el
proveedor”.
• Se parte del análisis de riesgos para determinar los controles necesarios (SoA)
en lugar de identificar primero activos, amenazas y vulnerabilidades
ISO 27001. Cambios notables
Pasa de 102 requisitos a 130
Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub
clausulas)
La normativa ISO 27002 se ha incorporado al anexo A
• Controles nuevos:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities
2005 2013
ISO 27001. Estructura
ISO 27001. Estructura
1.- Alcance
• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
• La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)
ISO 27001. Liderazgo y Compromiso
5.- Liderazgo y Compromiso de la dirección
• Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más
detalladamente, a las debilidades de los activos o de sus medidas de protección que
facilitan el éxito de una amenaza potencial.
Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para
salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término
“insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es
insuficiente para preservar el valor del activo expuesto a una amenaza.
Análisis de riesgos. Conceptos
• Un activo tiene valor para la compañía y está lo expone a un riesgo con la esperanza de
obtener un beneficio (oportunidad) .
• Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de
riesgos).
• El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y
formalmente aceptado por la Organización (dirección)
• 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
ISO 27001:2013
-Análisis de riesgo según contexto, no según activos
-Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I.
-Se substituye “propietario del activo” por “propietario del riesgo”
Lista de tareas de AR según MAGERIT V3
ISO 27001. Planificación
Resumiendo:
• Hay que definir, aplicar y documentar un proceso de evaluación de riesgos, propio o de
terceros, focalizado en los valores de la seguridad de la información
• Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable)
• Identificad los riesgos principales y los propietarios de esos riesgos. Priorizarlos
• Diseñar un plan de tratamiento de riesgos, comparar los controles necesarios con el
anexo A y elaborar el Statement of applicability (SoA)
• El SoA debe revisar los controles del anexo A y justificar su inclusión o
exclusión.
• Crear el plan de seguridad y obtener la aprobación de los propietarios del riesgo
• Crear objetivos (6.2) de seguridad. Como en otras normas.
ISO 27001. Soporte
• Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI,
que incluye:
• Recursos, personal competente, concienciación y comunicación con las partes interesadas
• Se incluye una nueva definición “información documentada” que sustituye a los términos
“documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la
documentación correspondiente al SGSI. Depende del tamaño de la organización.
• El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un
determinado conjunto de estos.
ISO 27001. Operación
• Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas
de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el
del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación)
• Además, plantea que la organización debe planear y controlar las operaciones y
requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información de manera periódica por medio
de un programa previamente elegido.
• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.
Solo se requiere para identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad
ISO 27001. Evaluación del rendimiento
• Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así
cómo dar solución a todas las acciones correctivas y no conformidades detectas
Dominios (Clausulas) y Controles (Salvaguardas)
A.5: Information security policies (2 controls)
A.6: Organization of information security (7
controls)
A.7: Human resource security - 6 controls that are
applied before, during, or after employment
A.8: Asset management (10 controls)
A.9: Access control (14 controls)
A.10: Cryptography (2 controls)
A.11: Physical and environmental security (15
controls)
A.12: Operations security (14 controls)
A.13: Communications security (7 controls)
A.14: System acquisition, development and
maintenance (13 controls)
A.15: Supplier relationships (5 controls)
A.16: Information security incident management (7
controls)
A.17: Information security aspects of business
continuity management (4 controls)
A.18: Compliance; with internal requirements, such
as policies, and with external requirements, such as
laws (8 controls)
Dominios (Clausulas) y Controles (Salvaguardas)
Fuente: http://http://www.iso27001standard.com
Documentación obligatoria
• Alcance del SGSI (punto 4.3)
• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
• Declaración de aplicabilidad (SoA) (punto 6.1.3 d)
• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
• Informe de evaluación de riesgos (punto 8.2)
• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
• Inventario de activos (punto A.8.1.1)
• Uso aceptable de los activos (punto A.8.1.3)
• Política de control de acceso (punto A.9.1.1)
• Procedimientos operativos para gestión de TI (punto A.12.1.1)
• Principios de ingeniería para sistema seguro (punto A.14.2.5)
• Política de seguridad para proveedores (punto A.15.1.1)
• Procedimiento para gestión de incidentes (punto A.16.1.5)
• Procedimientos para continuidad del negocio (punto A.17.1.2)
• Requisitos legales, normativos y contractuales (punto A.18.1.1)
Registros obligatorios
• Registros de capacitación, habilidades, experiencia y evaluaciones (punto 7.2)
Mailto: Gnzldlp@gmail.com